les carnets de clarisse

En écoutant Patrick Pailloux, le directeur de l’ANSSI, dérouler un de ses sujets favoris – l’importance fondamentale de l’hygiène informatique de base – pendant le CyberCercle du 8 novembre dernier, il m’est venu à l’esprit que c’était bien là que résidait un des points possibles d’amélioration spectaculaire et générale de la sécurité informatique.

L’hygiène informatique est en effet le dada de Patrick Pailloux, son image analogique phare :

« En matière de sécurité informatique, la priorité c’est l’hygiène.» 

qu’il utilise pour nous expliquer les enjeux d’une pratique professionnelle quotidienne légère, mais dont on ne peut s’abstenir – car les conséquences de sa non-application peuvent être terribles.

La comparaison avec la nécessité de ces pratiques du milieu médical avant et après Pasteur – qui nous semble une évidence aujourd’hui – illustre ainsi que l’hygiène de base démultiplie mécaniquement par un simple usage rigoureux les gains de santé, de guérison ou de survie d’un système, d’une architecture informatique, du patrimoine immatériel vivant d’un organisme vivant, cible potentielle ou déclarée de menaces d’échelles diverses.

« La question c’est pourquoi dans l’immatériel on n’accepte pas les contraintes et que l’on se croit en sécurité.

Je ne suis pas sociologue, psychologue ou philosophe… je suis ingénieur. Mais ce dont je suis sûr, c’est que si on ne change pas ces comportements, on n’arrivera à pas grand-chose, comme avec l’hygiène.» 

(La réponse, c’est parce que dans l’immatériel, comme dans le médical, on ne peut pas voir l’acteur ou le vecteur du danger à l’œil nu. Les microbes n’existent pas, puisqu’on ne les voit pas. Donc la menace naîtra par génération spontanée).

Le second constat de Patrick Pailloux découle de cette analogie avec la médecine, et c’est une lamentation : les mesures élémentaires d’hygiène informatique ne sont pas appliquées, tout simplement parce qu’elles ne vont pas de soi, et elles ne vont pas de soi tout simplement parce qu’elles ne sont pas connues des professionnels…

Aussi surprenant que cela puisse paraître en effet, ni l’apprentissage ni la connaissance des mesures de base de l’hygiène informatique n’existent dans les cursus d’enseignement que reçoit l’informaticien.

On retombe ainsi dans l’état des lieux d’avant Pasteur – méconnaissance ou ignorance, entraînant indifférence et incrédulité du praticien comme celle du patient.
Avec d’autres conséquences, comme… des statistiques élevées de mortalité, la propagation rapide d’une épidémie, ou encore le sentiment de fatalité, l’acceptation d’un destin aléatoire que l’on ne peut que subir.

Y a-t-il une réponse simple à ces deux problèmes ? Peut-on changer de l’intérieur les mentalités ? Comment mettre en place uniformément et facilement ces pratiques de base de l’hygiène informatique ? Comment les transmettre aux non-informaticiens ?

Une des réponses serait peut-être d’encadrer la profession d’informaticien en la dotant d’un ordre.

L’ordre des informaticiens permettait en effet l’établissement simple et unifié de ces pratiques professionnelles, et la définition/création d’une déontologie propre, qui seraient ainsi acquises bien en amont du travail sur le terrain.

Acquises à la base de sa formation par l’informaticien, ensuite respectées et propagées à l’intérieur de l’entreprise/organisation où il travaille. Puis retransmises vers l’extérieur de l’entreprise, par l’imitation personnelle qu’en fera chacun des utilisateurs, à force d’habitude, les adoptant comme siennes et les appliquant dès lors naturellement au dehors et chez lui.

••••••
lectures complémentaires

L’hygiène informatique en entreprise – Quelques recommandations simples – ANSSI
Pour aider à ce travail, l’ANSSI publie aujourd’hui un précis d’hygiène informatique. Nous vous proposons en treize étapes, soit 40 règles concrètes et pratiques, d’assainir votre système d’information. Ces 40 règles doivent toutes être appliquées systématiquement, partout. Appliquer ces 40 règles garantira à vos systèmes d’information une meilleure résilience face aux cyberattaques, et donc protégera l’entreprise qui vous fait confiance pour sa sécurité informatique.

Un ordre assurera aux praticiens d’un secteur le monopole sur les titres et les gestes
« Le recours à des ordres professionnels est une voie qui est de plus en plus privilégiée par l’État pour réguler et contrôler le marché de l’expertise. Les premières initiatives de l’État en ce sens, notamment en santé, sont allées de pair avec la volonté de miser de plus en plus sur des services privés. Pour légitimer, pour rendre viable ce marché privé, on a choisi de passer par la formule des ordres. Pour s’assurer que même les praticiens œuvrant dans le secteur privé mèneraient une pratique légitime via la régulation des ordres professionnels. »

« Appartenir à un ordre et à un monopole nous pousse à réduire sa profession à ce qui lui est propre, à ce qui est unique à son corps de métier. Tout ce qui est légèrement différent, tout ce qui ne pense pas pareil en est, au final, exclu. »

Les juridictions ordinales – Markus J.-P.
L’ordre représente, administre et surveille la profession dont il est issu. Il s’agit donc d’un modèle d’autogestion, qui va supposer une «autojuridiction», ou justice par les pairs. Mais dans toute organisation autogérée, une fraction tend à vouloir imposer ses vues sur les autres, toutes visant ce qu’elles croient être l’intérêt général de la profession. Il en résulte un risque d’instrumentalisation de l’ordre par une partie de la profession.

En chaque ordre siège une juridiction disciplinaire chargée de punir les professionnels s’étant rendus coupables de manquements à la déontologie. Ce sont les juridictions ordinales. Le présent ouvrage est consacré à l’étude de leur organisation et de leur fonctionnement.
Le choix de ce thème tient au fait que peu de juridictions ont cristallisé tant de griefs, quant au respect des droits du justiciable.
Au point que, dans les années 70, le Pr. E. Alfandari osait la question suivante : « Faut-il, au nom des droits de l’homme, supprimer l’ordre des médecins ? »

[…]
On doit déduire de cette quasi-unanimité politique et juridique que les avantages de ce mode de justice l’emportent sur ses inconvénients : la technicité de certaines professions ne se satisfait que d’un tribunal composé de membres de ces professions.

Les devoirs déontologiques procèdent plus ou moins directement de valeurs qui les transcendent : morale, honneur, probité, humanité, compétence, conscience professionnelle. Le serment, commun à toutes les professions organisées en ordre, vient sceller le lien entre la déontologie et ces valeurs.